10:52
25/1/2024

W obu przypadkach udało się przejąć wiadomości zespołów cyberbezpieczeństwa. Przyczyna problemów była banalna przynajmniej w jednym z tych przypadków.

Atak na skrzynki HP

Firma Hewlett Packard Enterprise (HPE) ujawniła, że grupa rosyjskich hackerów znana jako APT29 lub Midnight Blizzard uzyskała dostęp do skrzynek pocztowych ludzi z kilku jej wydziałów, w tym do poczty działu cyberbezpieczeństwa. Ujawnienie tego faktu nastąpiło w formularzu 8-K składanym do Amerykańskiej Komisji Papierów Wartościowych i Giełd (Securities and Exchange Commission). Formularz 8-K jest oficjalnym powiadomieniem o fakcie, o którym wszyscy udziałowcy powinni mieć wiedzę.

Sam formularz mówi, że:

  1. Dnia 12 grudnia 2023 HPE dowiedziała się o podejrzanym działaniu grupy Midnight Blizzard. Początkowo wiedziano, że hackerzy uzyskali dostęp do chmury z systemem pocztowym.
  2. Firma wynajęła zewnętrznych ekspertów i przystąpiła do uruchomienia procedur śledczych i zabezpieczających.
  3. Atakujący mogli uzyskać dostęp do danych z małego odsetka skrzynek HPE, które były używane przez osoby z działu cyberbezpieczeństwa i segmentów biznesowych.
  4. Doszło do wyprowadzenia tych danych poza firmę.
  5. Ustalono, że atak zaczął się w maju 2023 r.
  6. Incydent wykazuje powiązanie z wcześniejszą aktywnością Midnight Blizzard, którą firma zauważyła w czerwcu 2023.
  7. Firma zapowiada współpracę z władzami i informowanie władz, udziałowców i klientów o kolejnych ustaleniach.

Hmmm… tu więcej jest pytań niż odpowiedzi. Czy to był phishing, czy może malware lub podatność w systemach? Z formularza 8-K to nie wynika, natomiast dodatkowy komentarz udzielony serwisowi Bleeping Computer ujawnia, że hackerzy dostali się wyłącznie do tego co było na skrzynkach. Jak dotąd nic nie wskazuje na to, aby atak mógł wywrzeć duży wpływ na działania firmy lub jej finanse.

Grupa Midnight Blizzard nie raz dokonywała ataków spear-phishingowych, ale inne metody również nie były jej obce.

Microsoft też obrywa i wyciąga wnioski

Powyższa informacja zbiega się z inną. W ubiegłym tygodniu Microsoft oświadczył, że 12 stycznia tego roku doszło do wykrycia ataku na jego systemy korporacyjne. Firma zdecydowała się na ujawnienie tego faktu, bo zobowiązała się do większej transparentności w ramach akcji Secure Future Initiative.

Atak na Microsoft zaczął się w listopadzie 2023. Atakujący użyli techniki password spraying, czyli sprawdzali możliwość zalogowania się pewnymi przewidywalnymi hasłami na wielu kontach. Udało im się dostać na stare konto nie używane już na produkcji. Wynikające z tego uprawnienia zostały wykorzystane by uzyskać dostęp do “małego odsetka kont mailowych” używanych przez: kierowników, pracowników działu cyberbezpieczeństwa i pracowników działu prawnego. Pobrano niektóre wiadomości i załączniki. Co ciekawe, Midnight Blizzard najprawdopodobniej szukał w Microsofcie informacji o sobie samym (tzn. co Microsoft może wiedzieć na temat grupy).

Atakujący nie uzyskali dostępu do danych klientów, systemów produkcyjnych, kodu źródłowego czy systemów AI. Wiadomo, że atak nie był wynikiem żadnej słabości w produktach czy usługach Microsoftu.

W oświadczeniu MS było ciekawe spostrzeżenie. Zorganizowany charakter działań takich grup jak APT29 musi zmienić spojrzenie na to, w jaki sposób wyważa się ryzyko wystąpienia zagrożeń w odniesieniu do ryzyka “biznesowego”. Niestety trzeba szybciej podążać w stronę zmniejszenia ryzyka zagrożeń, nawet jeśli będzie to oznaczało przerwy w aktualnie działających procesach – konkluduje Microsoft. Firma rozpoczęła już proces dostosowywania swoich starszych systemów do tej nowszej filozofii.

My jeszcze raz przypomnimy, że nawet w dużych, wysoce technicznych organizacjach zdarzają się bardzo podstawowe niedociągnięcia z zakresu bezpieczeństwa.

Co to jest APT29 (Midnight Blizzard)?

APT29 to grupa przestępcza znana także Cozy Bear albo Nobelium (jest jeszcze kilka innych nazw roboczych). To właśnie ona grupa atakowała różne instytucje z wykorzystaniem podatności w JetBrains TeamCity (CVE-2023-42793), a do powstrzymania tych działań przyczynili się także Polacy.

W ubiegłym roku w sieci pojawił się szczegółowy opis narzędzi tej grupy. Wiele ataków rozpoczynało się od podszywania się pod polityków lub dyplomatów. Nie było tam cudów ani zeroday’ów – ofiara musiała otworzyć pobrany plik, a sprzyjało temu wykorzystane techniki to np. DLL Sideloading i “ukrywanie” prawdziwego rozszerzenia pliku wykonywalnego EXE. Grupa działała często dość klasyczne, ale konsekwentnie i przez to skutecznie. Również z tą grupą związana była niesamowita historia o tym, jak rosyjscy hackerzy zostali zhackowani przez hackerów z Holandii.

APT29 uformowała się prawdopodobnie w latach 2008-2010. Wiązano z nią malware o nazwie MiniDuke wykryty przez Kaspersky’ego oraz ataki na jednostki dyplomatyczne zidentyfikowane 14 lat temu przez Symantec. Działania grupy są wyraźnie podzielone na wybrane obszary zainteresowań: dyplomacja, komunikacja, systemy wojskowe, sektor energetyczny. APT29 brała na celownik podmioty z Europy, Azji, Afryki i USA. Za jej najbardziej istotne wyczyny uważa się atak na Biały Dom i partię Demokratów w USA (rok 2014), atak spear-phishingowy na Pentagon (2015), ataki na instytucje rządowe Holandii i Norwegii (2017-2018) oraz duży atak na instytucje federalne USA z roku 2020, który rozpoczął się od  wykorzystania podatności w produktach Microsoftu, SolarWinds oraz VMWare.

Przeczytaj także:

6 komentarzy

Dodaj komentarz
  1. Bardzo dużo literówek w tekście, ktoś chyba tego nie przeredagował.

  2. W Polsce sa jakies grupy apt?

  3. Może praktykant?;) wszędzie ich pełno.

  4. od 5 stycznia ktoś mi sie próbuje włamać na konto microsoftu, IP z niemiec, rosji, chorwacji…

  5. Moje konto też atakowali aż w końcu jakimś cudem się dostali… O czym poinformował mnie w nocy monit z podłączonego konta googla. Zaczęło się jakoś w okolicach świąt a w styczniu się przebili mimo 2fa na tel.

  6. Niech zgadnę… HP zostało zaatakowane przez nieoryginalny kartridż z tuszem?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: